La solution GOOGLE reCAPTCHA est-elle illégale ?

De très nombreux sites internet utilisent la solution GOOGLE reCAPTCHA. Au-delà d’être très simple à implémenter et compatible avec de nombreux applicatifs, la solution GOOGLE reCAPTCHA est diaboliquement efficace pour différencier un robot, d’un humain. Cette solution s’est d’ailleurs progressivement imposée comme étant la plus utilisée sur internet. Pourtant, la licéité de GOOGLE reCAPTCHA est régulièrement remise en cause par les professionnels du domaine de la protection des données personnelles, ainsi que par l’autorité de contrôle française en charge de ces enjeux : la Commission Nationale de l’Informatique et des Libertés (CNIL).

Chez Mon DPO externe, nous avons tenté d’identifier plus clairement quels sont les enjeux de conformité liés à l’usage de GOOGLE reCAPTCHA, compte tenu des données qu’est amenée à traiter cette solution pour différencier l’humain du robot, et des traceurs (cookies) qu’elle est amenée à déposer sur les terminaux des internautes croisant son chemin.

Comprendre l’utilité d’un captcha

CAPTCHA est l’acronyme de l’anglais “Completely Automated Public Turing test to tell Computers and Humans Apart“. Les tests CAPTCHA sont donc des tests appartenant à la famille des tests de Turing visant à identifier, de manière automatisée, si l’utilisateur d’un service est un humain ou un robot.

Autrement dit, un test CAPTCHA doit être conçu de telle manière à pouvoir identifier les robots. Les techniques des robots évoluant constamment, les tests CAPTCHA doivent également s’adapter de manière constante aux perfectionnements des robots, voulant se faire passer pour humains.

Historiquement, les tests CAPTCHA consistaient à simplement demander à un internaute de retranscrire un mot aléatoire affiché sous forme d’image. Les méthodes de reconnaissance automatisée de caractères (OCR) ayant par la suite fait leur apparition, ces CAPTCHA sont rapidement devenus obsolètes : des robots pouvant facilement identifier des caractères dans une image et ainsi passer le test avec succès. Les CAPTCHA ont donc continuellement évolué, de manière concomitante à la capacité des robots à déjouer leurs tests.

Ces évolutions ont poussé certaines sociétés éditrices de CAPTCHA, à l’instar de GOOGLE, à perfectionner l’identification des robots, en ne se contentant plus de simplement demander à un internaute de passer un test unitaire, mais en analysant plus globalement son comportement (la rapidité avec laquelle il clique sur un élément, ses mouvements de souris, son adresse IP, etc.) afin de lui attribuer un score de légitimité ; engendrant de fait des traitements de données.

Au-delà de ces perfectionnements, GOOGLE a également eu l’idée d’utiliser le temps passé par des internautes à compléter des tests CAPTCHA pour améliorer certains de ses services, à l’instar de ses services de numérisation de livres. 

Voir 👓 l’article de LeMonde “Petite histoire des « Captcha », ces tests d’identification en pleine mutation” écrit le 09 février 2016 par Par Morgane Tual

Exemple de CAPTCHA proposé par les services de GOOGLE

Les CAPTCHA permettent donc d’éviter à un robot de se faire passer pour un humain. En pratique, le déploiement de CAPTCHA est très utile au sein d’espaces devant être préservés de l’action de robots. C’est ainsi tout particulièrement le cas :

  • des pages permettant de s’authentifier à un service (un robot pourrait opérer des attaques de type “brute force” ou du “credential stuffing” en opérant de nombreuses tentatives automatisées de connexion) ;
  • des pages permettant l’envoi de données, comme des formulaires de contact (un robot pourrait envoyer un très grand nombre de messages en très peu de temps, générant du spam et/ou même une saturation du service destinataire du volume important de données engendré) ;
  • etc.

Notons d’ailleurs que la CNIL recommande au sein de sa Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe le déploiement d’un mécanisme de type “captcha” aux fins de se prémunir contre les soumissions automatisées et intensives de tentatives.


Les enjeux de conformité liés à l’utilisation de la solution google recaptcha

Comme évoqué précédemment, l’évolution des CAPTCHA a poussé certains éditeurs, dont GOOGLE, à perfectionner leurs méthodes d’identification des robots en analysant des informations toujours plus vastes sur les internautes. Ces évolutions permettent à ce jour à GOOGLE de fournir un mécanisme de CAPTCHA extrêmement performant et qui plus est, gratuit et facilement implémentable.

Nature des données traitées par GOOGLE reCAPTCHA

Conditions devant être acceptées par un éditeur de site avant la création d’un reCAPTCHA de GOOGLE

La documentation technique mise à disposition par GOOGLE concernant sa solution reCAPTCHA ne permet pas réellement de comprendre quelles sont les données étant traitées et prises en compte par GOOGLE pour fournir sa solution de CAPTCHA. Cela n’a rien de très surprenant dans la mesure où GOOGLE s’assure ainsi de préserver son avance sur toute personne qui souhaiterait développer des mesures de contournement de sa solution actuelle.

En revanche, la documentation juridique de GOOGLE fournit quelques éléments d’information. Ainsi, lors de la création d’un CAPTCHA, GOOGLE impose à l’éditeur du site concerné, l’acceptation de différentes conditions :

Notons que ces documents renvoient eux-mêmes à d’autres documents (comme le “Google API Services User Data Policy“), pouvant être mis à jour au bon vouloir de GOOGLE, rendant comme il est d’usage chez GOOGLE, l’identification précise des obligations et garanties de GOOGLE et de l’utilisateur de ses services très (très) complexe.

Au-delà de ces conditions applicables à plusieurs services, GOOGLE informe par ailleurs les créateurs de reCAPTCHA du fait que l’utilisation de ce service engendre (i) d’une part le traitement de données personnelles et (ii) d’autre part le dépôt et/ou l’utilisation de traceurs (cookies) :

(…) le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse. (…)

A ce stade, nous comprenons donc que GOOGLE collecte des “données matérielles et logicielles” pour faire fonctionner son service GOOGLE reCAPTCHA. Ces maigres informations sont complétées par l’information étant fournie par GOOGLE aux internautes eux-mêmes, lorsqu’ils sont confrontés à l’apparition d’un test reCAPTCHA de GOOGLE.

La box reCAPTCHA comporte deux liens, menant vers les documents suivants :

Lors de la rédaction du présent article en avril 2022, les Règles de confidentialité de GOOGLE sont longues de 34 pages.

Ces règles ne s’appliquent pas spécifiquement au service reCAPTCHA de GOOGLE : elles prévoient donc des stipulations très générales, informant les personnes de l’ensemble des données qu’est susceptible de traiter GOOGLE pour ses différents services, sans savoir lesquelles pourraient être réellement utilisées dans le cadre du service reCAPTCHA.

Par principe, GOOGLE serait donc en capacité d’utiliser un spectre très large de données pour son service reCAPTCHA, et ce que l’internaute dispose ou non d’un compte GOOGLE :

Lorsque vous n’êtes connecté à aucun compte Google, nous stockons les informations collectées en les associant à des identifiants uniques liés au navigateur, à l’application ou à l’appareil que vous utilisez. (…) Lorsque vous êtes connecté à votre compte, nous stockons les informations collectées en les associant à votre compte Google et les considérons comme des informations personnelles.

Au titre des données que GOOGLE déclarer traiter, nous pouvons notamment identifier les données personnelles suivantes :

A quel moment ces données sont collectées par GOOGLE ?Exemples de catégories de données traitées par GOOGLEExemples de données inclues dans cette catégorie de donnéesLe traitement de ces données suppose-t-il que la personne soit connectée à un compte GOOGLE ?
Lorsque la personne utilise des services GOOGLE (y compris lorsque ces services sont déployés sur des sites tiers – comme peuvent l’être les reCAPTCHA)➡️ Informations relatives aux applications, aux navigateurs et aux appareils de l’internaute
➡️ Identifiant unique attribué à un terminal ;
➡️ Système d’exploitation de l’internaute
➡️ Données relatives au réseau mobile (telles que le nom de l’opérateur et le numéro de téléphone)
➡️ Adresse IP
➡️ date, heure et URL de provenance de la demande aux APIs de GOOGLE ;
➡️ Etc.
Non.
Lorsque la personne utilise des services GOOGLE (y compris lorsque ces services sont déployés sur des sites tiers – comme peuvent l’être les reCAPTCHA)
➡️ Informations relatives aux activités de l’internaute sur le service concerné➡️ Contenus recherchés
➡️ Contenus parcourus / visionnés
➡️ Interactions avec des contenus publicitaires
➡️ Appels et messages reçus et émis (si la personne utilise un service GOOGLE pour passer et recevoir des appels, envoyé et recevoir des messages)

Non.

En revanche, si l’internaute est connecté à son compte GOOGLE, des données complémentaires peuvent être collectées (exemple : l’historique de navigation du navigateur GOOGLE CHROME que la personne aurait synchronisée avec son compte GOOGLE).
Lors de la création d’un compte GOOGLE➡️ Données d’identification
➡️ Coordonnées
➡️ Données de paiement
➡️ Nom, prénom
➡️ E-mail
➡️ Numéro de téléphone
➡️ IBAN
➡️ Etc.

Oui.
Lorsque la personne utilise des services GOOGLE (y compris lorsque ces services sont déployés sur des sites tiers – comme peuvent l’être les reCAPTCHA)➡️ Informations relatives à la position géographique de l’internaute
➡️ Données GPS émises par le capteur d’un terminal mobile
➡️ Adresse IP
➡️ Lieux définis dans les services GOOGLE (exemple : enregistrer “son domicile” au sein de GOOGLE MAPS)
➡️ Points d’accès Wifi / antennes relais rencontrés par le capteur d’un terminal mobile
➡️ Etc.
Non.

En revanche, si l’internaute est connecté à son compte GOOGLE, des données complémentaires peuvent être collectées (exemple : le lieu défini comme étant “son domicile” dans GOOGLE MAPS).

Notons par ailleurs qu’en complément de ces données, GOOGLE est également amené à traiter des données provenant de tiers (partenaires marketing, partenaires de sécurité, etc.), sans que les catégories de données concernées ne soient clairement indiquées par GOOGLE.

GOOGLE est donc théoriquement amené à pouvoir traiter de très nombreuses données personnelles pour assurer le bon fonctionnement de sa solution reCAPTCHA. Une telle utilisation de données personnelles, dans le seul but de vérifier si les actions menées sur une page internet / un service sont opérées par un humain et/ou un robot, peut se révéler disproportionnée et contrevenir aux dispositions de l’article 5-1-c) du RGPD. En effet, dans de nombreuses hypothèses (exemple : la sécurisation d’un formulaire de contact d’une petite entreprise contre les envois automatisés de robots), des solutions alternatives supposant le traitement de bien moins de données personnelles (voir ne supposant aucun traitement de données personnelles) pourraient permettre de remplir les mêmes objectifs, à savoir éviter la mise en œuvre d’actions automatisées par des robots.


Finalité des données traitées par GOOGLE reCAPTCHA

Lors de la création d’un CAPTCHA, GOOGLE informe les créateurs de reCAPTCHA qu’il utilisera les données pour deux finalités distinctes :

  • améliorer la fonctionnalité reCAPTCHA ;
  • à des fins de “sécurité générale”.

(…) Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu’à des fins de sécurité générale. Google ne s’en servira pas pour vous proposer de la publicité personnalisée. (…) si vous utilisez les API, vous acceptez qu’il vous incombe d’en informer les utilisateurs et de leur demander leur autorisation pour la collecte et le partage de ces données avec Google (…)

GOOGLE précise également que les données traitées via reCAPTCHA ne sont pas utilisées à des fins publicitaires.

Ces finalités sont très vagues. Ainsi, il est très compliqué de comprendre quels peuvent être les usages de données engendrés par la finalité de “sécurité générale”. Au-delà de ne pas être très précises, il est notable que ces déclarations de GOOGLE ne font l’objet d’aucune garantie contractuelle entre GOOGLE et l’éditeur du site internet / service utilisateur de la solution reCAPTCHA (à l’exception des éditeurs qui utiliseraient la version “Enterprise API” de reCAPTCHA, permettant de bénéficier des “Google Cloud Platform Terms of Service”).

Conformément au raisonnement appliqué précédemment pour déterminer quelles sont les catégories de données traitées par la solution reCAPTCHA de GOOGLE, notons que GOOGLE informe les utilisateurs finaux du service reCAPTCHA, au travers des Règles de Confidentialité générales de GOOGLE, que les données traitées par GOOGLE sont utilisées pour les différentes finalités suivantes :

  • fournir ses services ;
  • assurer et améliorer ses services ;
  • développer de nouveaux services ;
  • proposer des services personnalisés, notamment en matière de contenu et d’annonces ;
  • évaluer les performances ;
  • communiquer avec les utilisateurs des services GOOGLE ;
  • protéger GOOGLE, ses utilisateurs et le public.

Là encore, il n’est pas possible de savoir si GOOGLE opère un réel usage des données traitées par le biais de reCAPTCHA pour l’ensemble de ces finalités ; dans la mesure où les règles de confidentialité de GOOGLE sont globales à l’ensemble de ces services.

Théoriquement, GOOGLE s’ouvre donc la possibilité de traiter les données collectées et traitées via son service reCAPTCHA pour l’ensemble des finalités susmentionnées, à l’exception de la finalité “proposer des services personnalisés, notamment en matière de contenu et d’annonces” (GOOGLE indiquant par ailleurs lors de la création d’un reCAPTCHA, sans que cela ne soit contractuellement engageant, que les données de ce service ne sont pas utilisées à des fins de publicité).


De la nécessité de récolter un consentement pour utiliser le service reCAPTCHA de GOOGLE

Un consentement exigé par GOOGLE

En premier lieu, il convient de noter que GOOGLE lui-même impose aux responsables de traitement implémentant sa solution de reCAPTCHA d’obtenir le consentement des internautes en amont de l’utilisation de son service. En effet, lors de la création d’un CAPTCHA, GOOGLE impose au responsable de traitement de se conformer aux “Règles relatives au consentement” dans l’Union européenne. Ces règles stipulant notamment :

(…) vous devez vous assurer que certaines informations sont divulguées aux utilisateurs finaux de l’Espace économique européen et du Royaume-Uni et que vous avez obtenu leur consentement. Si vous ne respectez pas ces règles, nous nous réservons le droit de limiter ou suspendre votre utilisation du produit Google et/ou de résilier votre contrat. (…) 

En pratique, cette obligation s’avère très théorique, dans la mesure où GOOGLE n’opère aucun contrôle pour vérifier si les responsables de traitement implémentant sa solution reCAPTCHA récoltent ou non le consentement préalable des internautes.

Un consentement exigé par la CNIL au titre du respect de l’article 82 de la loi Informatique et Libertés

La Commission nationale de l’informatique et des libertés a également eu l’occasion de se prononcer à deux reprises quant à la nécessité de récolter un consentement préalablement à l’usage de la solution reCAPTCHA.

Au travers de la Décision MED-2020-015 du 15 juillet 2020 mettant en demeure le ministère des solidarités et de la santé, la CNIL avait eu l’occasion d’évoquer les enjeux liés à GOOGLE reCAPTCHA, dans la mesure où cette solution de CAPTCHA avait été intégrée au sein de l’application “StopCovid”.

Pour l’autorité de contrôle française, et comme nous avons pu le détailler précédemment dans cet article, la solution reCAPTCHA de GOOGLE suppose la lecture ou l’écriture sur l’ordiphone de l’utilisateur d’informations, par le biais de cookies et autres traceurs. Or, il convient de rappeler que par principe, de telles opérations sont conditionnées au consentement préalable, comme le dispose l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :

Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ce même article prévoit bien des exemptions au consentement, mais ces dernières concernent uniquement les traceurs ayant pour “finalité exclusive de permettre ou faciliter la communication par voie électronique” ou qui sont “strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur“. Ces exemptions ont par ailleurs eu l’occasion d’être précisées par la CNIL au travers de la Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur, ainsi qu’au sein de la Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ». Il est d’ailleurs intéressant de noter qu’au titre des délibérations susmentionnées, la CNIL considère que peuvent entrer dans le périmètre de l’exemption de consentement les “traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues”.

Or, comme nous l’avons vu précédemment dans cet article, et comme le relève la CNIL dans sa Décision MED-2020-015 du 15 juillet 2020, GOOGLE est amené à utiliser les données traitées par le biais de sa solution reCAPTCHA pour des finalités plus larges que la seule sécurisation de l’application sur laquelle est déployée reCAPTCHA. Dès lors, la solution reCAPTCHA de GOOGLE ne peut pas bénéficier de l’exemption de consentement prévue par l’article 82 de la loi Informatique et Libertés : son utilisation doit donc être conditionnée à l’obtention préalable du consentement des internautes concernés.

Plus récemment, an avril 2022, un membre du collectif Exodus Privacy a publié (source) la réponse lui ayant été formulée par le service des plaintes de la CNIL, à l’issue d’une plainte déposée en juin 2020 par rapport à l’usage de cette solution sur un service étatique : le plaignant remettait alors en cause la licéité de cette solution auprès de l’autorité de contrôle française.

Réponse adressée par la CNIL au plaignant

Sans grandes explications, la CNIL confirme la position qu’elle avait pu exprimer dans le cadre de la Décision MED-2020-015 du 15 juillet 2020 : les traceurs utilisés et déposés par la solution reCAPTCHA de GOOGLE nécessitent le recueil du consentement préalable des personnes concernées.

l’impossibilité pratique de recueillir le consentement en amont de l’usage de la solution reCAPTCHA

Au-delà de l’ensemble des enjeux de conformité que pose la récolte d’un consentement valable, dont les critères sont très largement détaillés au sein des Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, il est évident que la récolte d’un consentement préalable à l’utilisation d’une solution de CAPTCHA est ubuesque :

  • si l’éditeur du site / de l’application refuse d’afficher le service (exemple : un formulaire de contact) en cas d’absence de consentement de l’usager, il pourra être considéré que la récolte du consentement ne présentait pas un caractère “libre”. L’éditeur du site / de l’application se positionnerait alors en situation d’illicéité au regard des dispositions de l’article 6 et 7 du RGPD ;
  • si l’éditeur du site / de l’application affiche le service (exemple : un formulaire de contact) en cas d’absence de consentement de l’usager, le CAPTCHA serait amené à ne pas être déclenché ; ce qui présenterait un enjeu majeur de sécurité et rendrait cette solution parfaitement inefficace.
Des enjeux de conformité complémentaires : les transferts de données personnelles hors de l’Union européenne

Notons enfin que la solution reCAPTCHA de GOOGLE est également susceptible de poser des enjeux de conformité au titre des transferts de données personnelles vers les États-Unis qu’elle est susceptible d’engendrer.

Rappelons en effet que depuis l’arrêt Schrems II, la CJUE (Cour de justice de l’Union européenne) considère que tout transfert de données personnelles vers les États-Unis nécessite la mise en œuvre de “mesures complémentaires” telles que définies par l’EDPB dans ses recommandations “01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“.

Or, la CNIL a pu en février 2022 mettre en demeure un gestionnaire de site web de déployer sur son site internet la solution de mesure d’audience GOOGLE ANALYTICS, qui engendrait des transferts de données personnelles vers les États-Unis. La CNIL avait alors eu l’occasion d’évaluer que dans le contexte spécifique de ces transferts, les mesures déployées par GOOGLE et l’éditeur du site mis en demeure n’étaient pas suffisantes pour répondre aux exigences réglementaires.

L’utilisation de la solution reCAPTCHA de GOOGLE pourrait certainement engendrer des enjeux de conformité très similaires à ceux mis en évidence par la CNIL dans le cadre de la mise en demeure d’un gestionnaire de site web ayant recours à la solution GOIOGLE ANALYTICS.


En conclusion

Alors, l’utilisation de la solution GOOGLE reCAPTCHA est-elle illégale ? Comme bien souvent dans le domaine de la protection des données personnelles, les réponses apportées se doivent d’être nuancées.

Dans la majorité des cas, il est fort probable que l’utilisation de GOOGLE reCAPTCHA soit considérée comme illicite, ne serait-ce qu’au regard de la disproportionnalité des données que peut être amenée à traiter cette solution (article 5 du RGPD) et des enjeux de transferts de données personnelles qu’elle engendre vers les États-Unis (articles 44 et suivants du RGPD).

Au-delà de ces importants enjeux de conformité, la nécessité de conditionner l’utilisation de la solution reCAPTCHA de GOOGLE au consentement préalable des internautes en fait en pratique une solution inutilisable. Il est en ce sens paradoxal que GOOGLE lui-même prévoit que sa solution ne puisse être utilisée qu’après avoir obtenu le consentement des personnes concernées …

Pour autant, cela ne signifie pas que les solutions de CAPTCHA doivent être abandonnées. Tout au contraire, ces solutions sont plus que jamais nécessaires pour davantage sécuriser nos systèmes d’informations. Il conviendra en revanche de se tourner vers d’autres solutions, parfois payantes, parfois moins performantes, parfois moins simples d’implémentation. Un juste compromis certainement nécessaire pour assurer une meilleure protection de la vie privée et des données personnelles des internautes.

Vous êtes à la recherche d’une solution alternative à GOOGLE reCAPTCHA ? Nous vous invitons à consulter notre comparatif des solutions CAPTCHA. Dans le cadre de ce comparatif, nous nous sommes attachés à comparer différentes solutions de CAPTCHA alternatives à GOOGLE reCAPTCHA au regard de critères techniques et de nos propres exigences de conformité.

N’hésitez pas à vous abonner à notre newsletter 📰 pour ne pas rater nos prochaines publications.


Si vous êtes à la recherche d’un DPO externalisé pour vous accompagner dans vos enjeux de conformité aux réglementations sur la protection des données personnelles, vous pouvez prendre connaissance de nos prestations d’accompagnement et le cas échéant nous contacter. Fort d’une petite équipe très expérimentée, dont l’ensemble des membres réunissent les indispensables compétences du DPO, Mon DPO externe accompagne des structures nationales et internationales dans la maîtrise de leurs risques de conformité.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.